Conectar-se à AWS para detecção de vulnerabilidades e avaliação de risco

É possível conectar o nível Security Command Center Enterprise ao Amazon Web Services (AWS) para fazer o seguinte:

• Detecte e corrija vulnerabilidades e configurações incorretas de software no ambiente da AWS
• Criar e gerenciar uma postura de segurança para a AWS
• Identifique possíveis caminhos de ataque da Internet pública para seus recursos de alto valor da AWS.
• Mapear a conformidade dos recursos da AWS com vários padrões e comparativos de mercado

A conexão do Security Command Center à AWS cria um único local para que sua equipe de operações de segurança gerencie e corrija ameaças e vulnerabilidades no Google Cloud e na AWS.

Para permitir que o Security Command Center monitore sua organização AWS, você deve configurar um conexão usando um agente de serviço do Google Cloud e uma conta da AWS com acesso aos recursos que você quer monitorar. O Security Command Center usa essa conexão para coletar periodicamente dados em todas as contas e regiões da AWS que você definir.

É possível criar uma conexão da AWS para cada organização do Google Cloud. O conector usa chamadas de API para coletar dados de recursos da AWS. Essas chamadas de API podem gerar cobranças da AWS.

Este documento descreve como configurar a conexão com a AWS. Ao configurar uma conexão, você define o seguinte:

• Uma série de contas na AWS que têm acesso direto à AWS. que você quer monitorar. No console do Google Cloud, são chamadas de contas de coletor.
• Uma conta na AWS que tenha as políticas e os papéis apropriados para permitir para contas de coletor. No console do Google Cloud, essa conta é chamada de conta delegada. Tanto a conta delegada e as contas de coletor precisam estar na mesma organização da AWS.
• Um agente de serviço no Google Cloud que se conecta à rede para a autenticação.
• Um pipeline para coletar dados de recursos da AWS.
• (Opcional) Permissões para a Proteção de Dados Sensíveis criar um perfil do seu conteúdo da AWS.

Essa conexão não se aplica aos recursos do SIEM do Security Command Center que permitem a ingestão de registros da AWS para detecção de ameaças.

O diagrama a seguir mostra essa configuração. O projeto do locatário é um projeto criado automaticamente e contém a instância do pipeline de coleta de dados de recursos.

Antes de começar

Conclua estas tarefas antes de concluir as demais tarefas desta página.

Ativar o nível Enterprise do Security Command Center

Conclua as etapas 1 e 2 do guia de configuração para ativar o Security Command Center nível Enterprise.

Configurar permissões

Para ter as permissões necessárias para usar o conector da AWS, peça ao administrador para conceder a você Papel do IAM de proprietário de recursos do Cloud (roles/cloudasset.owner). Para mais informações sobre a concessão de papéis, consulte Gerenciar o acesso a projetos, pastas e organizações.

Também é possível conseguir as permissões necessárias por meio de papéis personalizados ou de outros papéis predefinidos.

Criar contas da AWS

Verifique se você criou os seguintes recursos da AWS:

• Um usuário do IAM da AWS com acesso ao IAM da AWS para os consoles da conta delegada e do coletor.

• O ID da conta da AWS para uma conta da AWS que você pode usar como a conta delegada. Se você quiser que o Security Command Center descubra automaticamente contas da AWS para encontrar recursos, a conta delegada precisa ser anexada a uma organização da AWS e ser uma das seguintes:

  • Uma conta de gerenciamento da AWS.

  • Um administrador delegado da AWS.

  • Uma conta da AWS com uma delegação baseada em recursos política que fornece as permissões organization e list. Para obter um exemplo política, consulte Exemplo: ver organização, UOs, contas e ..

Configurar o Security Command Center

1. No console do Google Cloud, acesse a página Guia de configuração do Security Command Center.

   Acessar o Guia de configuração

2. Selecione a organização em que você ativou o nível Security Command Center Enterprise. A página Guia de configuração é aberta.

3. Clique em Etapa 3: configurar o conector da Amazon Web Services (AWS).

4. Em ID da conta delegada, insira o ID da conta da AWS que você vai usar como a conta delegada.

5. Para permitir que a proteção de dados sensíveis crie perfis de dados da AWS, manter Conceder permissões para a proteção de dados sensíveis descoberta selecionada. Essa opção adiciona permissões do IAM da AWS ao Modelo do CloudFormation para o coletor de rede.

   Permissões do IAM da AWS concedidas por essa opção

   • s3:GetBucketLocation
   • s3:ListAllMyBuckets
   • s3:GetBucketPolicyStatus
   • s3:ListBucket
   • s3:GetObject
   • s3:GetObjectVersion
   • s3:GetBucketPublicAccessBlock
   • s3:GetBucketOwnershipControls
   • s3:GetBucketTagging
   • iam:ListAttachedRolePolicies
   • iam:GetPolicy
   • iam:GetPolicyVersion
   • iam:ListRolePolicies
   • iam:GetRolePolicy
   • ce:GetCostAndUsage
   • dynamodb:DescribeTableReplicaAutoScaling
   • identitystore:ListGroupMemberships
   • identitystore:ListGroups
   • identitystore:ListUsers
   • lambda:GetFunction
   • lambda:GetFunctionConcurrency
   • logs:ListTagsForResource
   • s3express:CreateSession
   • s3express:GetBucketPolicy
   • s3express:ListAllMyDirectoryBuckets
   • wafv2:GetIPSet

6. Se quiser, revise e edite as Opções avançadas. Consulte Personalizar a configuração do conector da AWS para informações sobre outras opções.

7. Clique em Continuar. A página Connect to AWS será aberta.

8. Siga uma das etapas a seguir:

   • Fazer o download e revisar os modelos do CloudFormation para o papel delegado e do coletor.
   • Se você configurou as opções avançadas ou precisa alterar o padrão da AWS de papéis (aws-delegated-role, aws-collector-role e aws-sensitive-data-protection-role), selecione Configurar contas da AWS manualmente. Copie o ID do agente de serviço, o nome do papel delegado, o nome do papel do coletor e o nome do papel da Proteção de Dados Sensíveis.

   Não é possível mudar os nomes de função depois de criar a conexão.

Não clique em Criar. Em vez disso, configure seu ambiente da AWS.

Configurar o ambiente da AWS

É possível configurar seu ambiente da AWS usando um destes métodos:

• Use os modelos do CloudFormation que você fez o download em Configurar o Security Command Center. Para instruções, consulte Use os modelos do CloudFormation para configurar o ambiente da AWS.
• Se você estiver usando configurações ou nomes de função personalizados, configure as contas da AWS manualmente. Para instruções, consulte Configurar contas da AWS manualmente.

Usar modelos do CloudFormation para configurar seu ambiente AWS

Se você fez o download de modelos do CloudFormation, siga estas etapas para configurar seu ambiente AWS.

1. Faça login na conta do delegado da AWS. console do Cloud. Verifique se você fez login na conta delegada usada para assumir outras contas de coletor da AWS, ou seja, uma conta de gerenciamento da AWS ou qualquer conta de membro registrada como administrador delegado.
2. Acesse o arquivo AWS CloudFormation modelo.

3. Crie uma pilha que provisione o papel delegado:

   1. Na página Stacks, clique em Criar pilha > Com novos recursos (padrão).
   2. Ao especificar um modelo, faça upload do arquivo de modelo de função delegada.
   3. Ao especificar os detalhes da pilha, insira um nome.

   4. Se você mudou o nome da função delegada, da função de coletor ou da função de Proteção de Dados Sensíveis, atualize os parâmetros de acordo. Os parâmetros inseridos precisam corresponder aos listados na página Conectar à AWS no console do Google Cloud.

   5. Atualize as opções da pilha conforme exigido pela sua organização.

   6. Na página Revisão e criação, selecione Confirmo que a AWS CloudFormation pode criar recursos do IAM com nomes personalizados.

   7. Clique em Enviar para criar a pilha.

   Aguarde a criação da pilha. Se ocorrer um problema, consulte Solução de problemas. Para mais informações, consulte Como criar uma pilha no AWS CloudFormation console na documentação da AWS.

4. Crie um conjunto de pilhas que provisione papéis de coletor.

   1. Na página StackSets, clique em Criar StackSet.

   2. Clique em Permissões gerenciadas pelo serviço.

   3. Ao especificar um modelo, faça upload do modelo de função do coletor .

   4. Ao especificar os detalhes do StackSet, insira o nome do conjunto de pilhas e descrição.

   5. Insira o ID da conta delegada.

   6. Se você mudou o nome da função delegada, da função de coletor ou da função de Proteção de Dados Sensíveis, atualize os parâmetros de acordo. O parâmetros inseridos devem corresponder aos listados no Página Conectar à AWS no console do Google Cloud.

   7. Defina as opções do conjunto de pilhas conforme necessário para sua organização.

   8. Ao especificar as opções de implantação, escolha os destinos. É possível implantar em toda a organização da AWS ou em uma unidade organizacional (UO) que inclui todas as contas da AWS de que você quer coletar dados.

   9. Especifique as regiões da AWS em que as funções e políticas serão criadas. Como os papéis são recursos globais, não é preciso especificar ou várias regiões.

   10. Mude outras configurações, se necessário.

   11. Revise as mudanças e clique em Enviar para criar o conjunto de pilhas. Se você receber um erro, consulte Solução de problemas. Para mais informações, consulte Crie um conjunto de pilhas com chaves de criptografia permissões na documentação da AWS.

5. Se você precisar coletar dados da conta de gerenciamento, faça login na conta de gerenciamento e implante uma pilha separada para provisionar os papéis de coletor. Ao especificar o modelo, faça upload do modelo de função do coletor .

   Essa etapa é necessária porque os conjuntos de pilhas do AWS CloudFormation não criam instâncias de pilha em contas de gerenciamento. Para mais informações, consulte DeploymentTargets na documentação da AWS.

Para concluir o processo de integração, consulte Conclua o processo de integração.

Configurar contas da AWS manualmente

Se não for possível usar os modelos do CloudFormation (por exemplo, se você estiver usando nomes de função diferentes ou personalizando a integração), crie as políticas e os papéis do IAM da AWS necessários manualmente.

É necessário criar políticas e papéis do AWS IAM para a conta delegada e as contas de coletor.

Criar a política do AWS IAM para o papel delegado

Para criar uma política do AWS IAM para o papel delegado (uma política delegada), faça o seguinte:

1. Faça login no console da conta delegada da AWS.

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole uma das seguintes opções, dependendo se você selecionou a caixa de seleção Conceder permissões para a descoberta de proteção de dados sensíveis em Configurar o Security Command Center.

   Conceder permissões para a proteção de dados sensíveis discovery: apagado

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Action": "sts:AssumeRole",
             "Resource": "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
             "Effect": "Allow"
         },
         {
             "Action": [
                 "organizations:List*",
                 "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
         }
     ]
   }
   

   Substitua COLLECTOR_ROLE_NAME pelo nome da função de coletor que você copiou ao configurar o Security Command Center (o padrão é aws-collector-role).

   Atribuir permissões para a descoberta de Proteção de Dados Sensíveis: selecionada

       {
         "Version": "2012-10-17",
         "Statement": [
           {
             "Action": "sts:AssumeRole",
             "Resource": [
               "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
               "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
             ],
             "Effect": "Allow"
           },
           {
             "Action": [
               "organizations:List*",
               "organizations:Describe*"
             ],
             "Resource": "*",
             "Effect": "Allow"
           }
         ]
       }
       

   Substitua:

   • COLLECTOR_ROLE_NAME: o nome do de coletor de dados de configuração que você copiou ao como configurar o Security Command Center (o padrão é aws-collector-role)
   • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o o nome do papel do coletor de proteção de dados sensíveis que você copiou ao como configurar o Security Command Center (o padrão é aws-sensitive-data-protection-role)

4. Clique em Próxima.

5. Na seção Detalhes da política, insira um nome e uma descrição para o política.

6. Clique em Criar política.

Criar um papel do AWS IAM para a relação de confiança entre a AWS e o Google Cloud

Crie um papel delegado que configure um relacionamento de confiança entre a AWS e o Google Cloud. Esse papel usa a política delegada que foi criada no Crie a política de IAM da AWS para o papel delegado.

1. Faça login no Console de contas delegadas da AWS como um usuário da AWS que pode criar papéis e políticas do IAM.

2. Clique em Funções > Criar papel.

3. Em Tipo de entidade confiável, clique em Identidade da Web.

4. Em Provedor de identidade, clique em Google.

5. Em Público-alvo, insira o ID do agente de serviço que você copiou quando o Security Command Center configurado. Clique em Next.

6. Para conceder à função delegada acesso aos papéis de coletor, anexe o políticas de permissão ao papel. Pesquise a política delegada que foi criada em Criar a política da AWS IAM para o papel delegado e selecione-a.

7. Na seção Detalhes da função, insira o Nome da função delegada que que você copiou quando Security Command Center configurado (o nome padrão é aws-delegated-role).

8. Clique em Criar papel.

Crie a política do AWS IAM para a coleta de dados de configuração de ativos

Para criar uma política do AWS IAM para coleta de dados de configuração de recursos (um coletor ), faça o seguinte:

1. Faça login no console da conta de coletor da AWS.

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
         {
             "Effect": "Allow",
             "Action": [
                 "ce:GetCostAndUsage",
                 "dynamodb:DescribeTableReplicaAutoScaling",
                 "identitystore:ListGroupMemberships",
                 "identitystore:ListGroups",
                 "identitystore:ListUsers",
                 "lambda:GetFunction",
                 "lambda:GetFunctionConcurrency",
                 "logs:ListTagsForResource",
                 "s3express:GetBucketPolicy",
                 "s3express:ListAllMyDirectoryBuckets",
                 "wafv2:GetIPSet"
             ],
             "Resource": [
                 "*"
             ]
         },
         {
             "Effect": "Allow",
             "Action": [
                 "apigateway:GET"
             ],
             "Resource": [
                 "arn:aws:apigateway:*::/usageplans",
                 "arn:aws:apigateway:*::/usageplans/*/keys",
                 "arn:aws:apigateway:*::/vpclinks/*"
             ]
         }
     ]
   
   }
   

4. Clique em Próxima.

5. Na seção Detalhes da política, insira um nome e uma descrição para o política.

6. Clique em Criar política.

7. Repita essas etapas para cada conta de coletor.

Criar o papel do IAM da AWS para a coleta de dados de configuração de recursos em cada conta

Crie o papel do coletor que permite que o Security Command Center acesse dados de configuração de recursos da AWS. Esse papel usa a política de coletor criada em Criar a política do IAM da AWS para a coleta de dados de configuração de ativos.

1. Faça login no Console da conta do coletor da AWS como um usuário que pode criar papéis do IAM para as contas de coletor.

2. Clique em Funções > Criar papel.

3. Em Tipo de entidade confiável, clique em Política de confiança personalizada.

4. Na seção Política de confiança personalizada, cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Substitua:

   • DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegada
   • DELEGATE_ACCOUNT_ROLE: o nome do papel delegado que você copiou ao configurar o Security Command Center.

5. Para conceder a esse papel de coletor acesso aos seus dados de configuração de recursos da AWS, as políticas de permissão ao papel. Pesquise o coletor personalizado que foi criada Crie a política de AWS IAM para a coleta de dados de configuração de recursos, e selecione-o.

6. Pesquise e selecione as seguintes políticas gerenciadas:

   • arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
   • arn:aws:iam::aws:policy/SecurityAudit

7. Na seção Detalhes do papel, insira o nome do papel do coletor de dados de configuração que você copiou ao configurar o Security Command Center.

8. Clique em Criar papel.

9. Repita essas etapas para cada conta de coletor.

Se você selecionou a opção Conceder permissões para proteção de dados sensíveis de descoberta em Configurar Security Command Center e prossiga para a próxima nesta seção.

Se você não tiver ativado a caixa de seleção Atribuir permissões para o serviço de descoberta de Proteção de Dados Sensíveis, conclua o processo de integração.

Criar a política de IAM da AWS para a proteção de dados sensíveis

Siga estas etapas se você tiver selecionado a caixa de seleção Conceder permissões para a descoberta de proteção de dados sensíveis em Configurar o Security Command Center.

Para criar uma política do AWS IAM para proteção de dados sensíveis (um coletor ), faça o seguinte:

1. Faça login no Console da conta do coletor da AWS

2. Clique em Políticas > Criar política.

3. Clique em JSON e cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": [
           "s3:GetBucketLocation",
           "s3:ListAllMyBuckets",
           "s3:GetBucketPolicyStatus",
           "s3:ListBucket",
           "s3:GetObject",
           "s3:GetObjectVersion",
           "s3:GetBucketPublicAccessBlock",
           "s3:GetBucketOwnershipControls",
           "s3:GetBucketTagging"
         ],
         "Resource": ["arn:aws:s3:::*"]
       },
       {
         "Effect": "Allow",
         "Action": [
           "iam:ListAttachedRolePolicies",
           "iam:GetPolicy",
           "iam:GetPolicyVersion",
           "iam:ListRolePolicies",
           "iam:GetRolePolicy",
           "ce:GetCostAndUsage",
           "dynamodb:DescribeTableReplicaAutoScaling",
           "identitystore:ListGroupMemberships",
           "identitystore:ListGroups",
           "identitystore:ListUsers",
           "lambda:GetFunction",
           "lambda:GetFunctionConcurrency",
           "logs:ListTagsForResource",
           "s3express:GetBucketPolicy",
           "s3express:ListAllMyDirectoryBuckets",
           "wafv2:GetIPSet"
         ],
         "Resource": ["*"]
       },
       {
         "Effect": "Allow",
         "Action": [
             "s3express:CreateSession"
         ],
         "Resource": ["arn:aws:s3express:*:*:bucket/*"]
       }
     ]
   }
   

4. Clique em Próxima.

5. Na seção Detalhes da política, insira um nome e uma descrição para o política.

6. Clique em Criar política.

7. Repita essas etapas para cada conta de coletor.

Crie o papel do AWS IAM para a Proteção de Dados Sensíveis em cada conta

Siga estas etapas se você tiver marcado a caixa de seleção Conceder permissões para a descoberta de proteção de dados sensíveis em Configurar o Security Command Center.

Crie a função de coletor que permite que a Proteção de Dados Sensíveis crie um perfil do conteúdo dos seus recursos da AWS. Esse papel usa a política do coletor que foi criada em Criar a política do IAM da AWS para proteção de dados confidenciais.

1. Faça login no console da conta de coletor da AWS como um usuário que pode criar papéis do IAM para contas de coletor.

2. Clique em Funções > Criar função.

3. Em Tipo de entidade confiável, clique em Política de confiança personalizada.

4. Na seção Política de confiança personalizada, cole o seguinte:

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "arn:aws:iam::DELEGATE_ACCOUNT_ID:role/DELEGATE_ACCOUNT_ROLE"
         },
         "Action": "sts:AssumeRole"
       }
     ]
   }
   

   Substitua:

   • DELEGATE_ACCOUNT_ID: o ID da conta da AWS para a conta delegada
   • DELEGATE_ACCOUNT_ROLE: a função delegada nome copiado quando você configurou Security Command Center

5. Para conceder a esse papel de coletor acesso ao conteúdo dos seus recursos da AWS, anexe as políticas de permissão ao papel. Pesquise o coletor personalizado política criada em Criar a política de IAM da AWS para Proteção de Dados Sensíveis, e selecione-o.

6. Na seção Role details, insira o nome da função de proteção de dados sensíveis que você copiou ao configurar o Security Command Center.

7. Clique em Criar papel.

8. Repita essas etapas para cada conta de coletor.

Para concluir o processo de integração, consulte Conclua o processo de integração.

Concluir o processo de integração

1. No console do Google Cloud, na página Test connector, clique em Test connector para verificar se o Security Command Center pode se conectar ao seu ambiente da AWS. Se a conexão for bem-sucedida, o teste determinou que o papel delegado tem todas as permissões necessárias para assumir a do coletor. Se a conexão não funcionar, consulte Solução de problemas ao testar a conexão.

2. Clique em Criar.

Personalizar a configuração do conector da AWS

Esta seção descreve algumas maneiras de personalizar a conexão entre o Security Command Center e a AWS. Essas opções estão disponíveis na seção Opções avançadas (opcional) da página Adicionar conector do Amazon Web Services no console do Google Cloud.

Por padrão, o Security Command Center descobre automaticamente suas contas da AWS em todas as regiões da AWS. A conexão usa o endpoint global padrão do AWS Security Token Service e as consultas por segundo (QPS) padrão do serviço da AWS que você está monitorando. Essas opções avançadas permitem personalizar os padrões.

Opção	Descrição
Adicionar contas de conector da AWS	Selecione o campo Adicionar contas automaticamente (recomendado) para permitir que o Security Command Center descobrir as contas da AWS automaticamente ou selecionar Adicionar contas individualmente e fornecer uma lista de contas da AWS que o Security Command Center possa usar para encontrar recursos.
Excluir contas do conector AWS	Se você selecionou o campo Adicionar contas individualmente na seção Adicionar contas do conector da AWS, forneça uma lista de contas da AWS que o Security Command Center não pode usar para encontrar recursos.
Selecionar regiões para coletar dados	Selecione uma ou mais regiões da AWS para que o Security Command Center colete dados. Deixe o campo Regiões da AWS vazio para coletar dados de todas as regiões.
Consultas máximas por segundo (QPS) para serviços da AWS	Você pode alterar o QPS para controlar o limite de cota para o Security Command Center. Defina a substituição para um valor que seja menor que o valor padrão desse serviço e maior ou igual a 1. O valor padrão é o valor máximo. Se você mudar o QPS, o Security Command Center poderá ter problemas ao buscar dados. Portanto, não recomendamos alterar esse valor.
Endpoint para serviço de token de segurança da AWS	É possível especificar um endpoint específico para o AWS Security Token Service (por exemplo, https://sts.us-east-2.amazonaws.com). Deixe o campo AWS Security Token Service vazio para usar o endpoint global padrão (https://sts.amazonaws.com).

Conceder permissões de descoberta de dados sensíveis a um conector da AWS

Para executar a descoberta de dados confidenciais no conteúdo da AWS, você precisa de uma conector da AWS que tenha o IAM da AWS necessário do Google Cloud.

Esta seção descreve como conceder essas permissões a um conector da AWS. As etapas necessárias dependem se você configurou seu ambiente da AWS usando modelos do CloudFormation ou manualmente.

Atualizar um conector usando modelos do CloudFormation

Se você configurou seu ambiente AWS usando o CloudFormation modelos e siga estas etapas para conceder acesso a dados sensíveis permissões de descoberta para seu conector AWS existente.

1. No console do Google Cloud, acesse a página Guia de configuração do Security Command Center.

   Acessar o Guia de configuração

2. Selecione a organização em que você ativou o nível Enterprise do Security Command Center. A página Guia de configuração é aberta.

3. Clique em Etapa 3: configurar a integração do Amazon Web Services (AWS). A página Conectores é aberta.

4. No conector AWS, clique em more_vert Mais > Editar.

5. Na seção Revisar tipos de dados, selecione Conceder permissões para proteção de dados sensíveis descoberta.

6. Clique em Continuar. A página Connect to AWS será aberta.

7. Clique em Fazer o download do modelo de função delegado. O modelo é baixado para seu computador.

8. Clique em Fazer o download do modelo de função do coletor. O modelo é salvo no computador.

9. Clique em Continuar. A página Testar conector é aberta. Não teste o conector ainda.

10. No console do CloudFormation, atualize o modelo de pilha da conta de serviço função:

    1. Faça login no console da conta de delegação da AWS. Verifique se você fez login na conta delegada que é usada para assumir outro coletor da AWS contas de serviço.
    2. Acesse a página da AWS console do CloudFormation.

    3. Substituir o modelo de pilha do papel delegado pelo modelo atualizado de função delegado que você transferiu por download.

       Para mais informações, consulte Atualizar o modelo de uma pilha (console) na documentação da AWS.

11. Atualize o conjunto de pilhas para a função do coletor:

    1. Usar uma conta de gerenciamento da AWS ou qualquer conta de membro registrada como um administrador delegado, acesse a página da AWS console do CloudFormation.

    2. Substitua o modelo do conjunto de pilhas da função do coletor pelo modelo atualizado modelo de função de coletor que você transferiu por download.

       Para mais informações, consulte Atualizar seu conjunto de stacks usando o console do AWS CloudFormation na documentação da AWS.

12. Se você precisar coletar dados da conta de gerenciamento, faça o seguinte: faça login na conta de gerenciamento e substitua o modelo no coletor pilha com o modelo de função do coletor atualizado que você transferiu por download.

    Essa etapa é necessária porque os conjuntos de pilhas do AWS CloudFormation não criam instâncias de pilhas em contas de gerenciamento. Para mais informações, consulte DeploymentTargets na documentação da AWS.

13. No console do Google Cloud, na página Testar conector, clique em Testar conector. Se a conexão for bem-sucedida, o teste determinou que o função delegado tem todas as permissões necessárias para assumir o coletor papéis de segurança na nuvem. Se a conexão não funcionar, consulte Como resolver erros ao testar a conexão.

14. Clique em Salvar.

Atualizar um conector manualmente

Se você configurou suas contas da AWS manualmente ao criou o conector da AWS e siga estas etapas para conceder dados confidenciais permissões de descoberta para seu conector AWS existente.

1. No console do Google Cloud, acesse a página Guia de configuração do Security Command Center.

   Acessar o Guia de configuração

2. Selecione a organização em que você ativou o nível Security Command Center Enterprise. A página Guia de configuração é aberta.

3. Clique em Etapa 3: configurar a integração do Amazon Web Services (AWS). A página Conectores é aberta.

4. No conector AWS, clique em more_vert Mais > Editar.

5. Na seção Revisar tipos de dados, selecione Conceder permissões para proteção de dados sensíveis descoberta.

6. Clique em Continuar. A página Connect to AWS será aberta.

7. Clique em Configurar contas da AWS manualmente (recomendado se você usar configurações avançadas ou nomes de função personalizados).

8. Copie os valores dos seguintes campos:

   • Nome da função delegada
   • Nome da função do coletor
   • Nome do papel do coletor de proteção de dados sensíveis

9. Clique em Continuar. A página Testar conector é aberta. Não teste o conector ainda.

10. No console da conta delegada da AWS, atualize a política do AWS IAM para o papel delegado para usar o seguinte JSON:

        {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Action": "sts:AssumeRole",
              "Resource": [
                "arn:aws:iam::*:role/COLLECTOR_ROLE_NAME",
                "arn:aws:iam::*:role/SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME"
              ],
              "Effect": "Allow"
            },
            {
              "Action": [
                "organizations:List*",
                "organizations:Describe*"
              ],
              "Resource": "*",
              "Effect": "Allow"
            }
          ]
        }
        

    Substitua:

    • COLLECTOR_ROLE_NAME: o nome da configuração. de coletor de dados que você copiou (o padrão é aws-collector-role)
    • SCAN_SENSITIVE_DATA_COLLECTOR_ROLE_NAME: o nome da função de coletor da Proteção de Dados Sensíveis que você copiou (o padrão é aws-sensitive-data-protection-role).

    Para mais informações, consulte Como editar políticas gerenciadas pelo cliente (console) na documentação da AWS.

11. Para cada conta de coletor, execute estes procedimentos:

    1. Crie a política do AWS IAM para proteção de dados sensíveis.

    2. Criar o papel do IAM da AWS para proteção de dados sensíveis em cada padrão.

12. No console do Google Cloud, na página Test connector, clique em Test connector. Se a conexão for bem-sucedida, o teste vai determinar que o papel delegado tem todas as permissões necessárias para assumir os papéis de coletor. Se a conexão não funcionar, consulte Como resolver erros ao testar a conexão.

13. Clique em Salvar.

Solução de problemas

Esta seção inclui alguns problemas comuns que você pode encontrar ao integrando o Security Command Center com a AWS.

Recursos já existem

Esse erro ocorre no ambiente da AWS quando você tenta criar o IAM da AWS de segurança e papéis do IAM da AWS. Esse problema ocorre quando a função já existe na sua conta da AWS e você está tentando criá-la novamente.

Para resolver esse problema, siga estas etapas:

• Verificar se a função ou política que você está criando já existe e atenda aos requisitos listados neste guia.
• Se necessário, mude o nome da função para evitar conflitos.

Principal inválido na política

Esse erro pode ocorrer no ambiente da AWS quando você está criando o coletor , mas o de delegado ainda não existe.

Para resolver esse problema, conclua as etapas em Criar a política de IAM da AWS para o função delegado e aguardar é criado antes de continuar.

Limitações de limitação na AWS

A AWS limita as solicitações de API para cada conta da AWS por conta ou região. Para garantir que esses limites não sejam excedidos quando o Security Command Center coleta dados de configuração de recursos da AWS, o Security Command Center coleta os dados com um QPS máximo fixo para cada serviço da AWS, conforme descrito na documentação da API para o serviço da AWS.

Se você tiver limitação de solicitações no seu ambiente da AWS devido ao QPS consumido, poderá atenuar o problema seguindo estas etapas:

• Na página Configurações do conector da AWS, defina um QPS personalizado para o serviço da AWS que está com problemas de limitação de solicitações.

• Restringir as permissões da função de coletor da AWS para que os dados desse serviço específico não sejam mais coletados. Essa técnica de mitigação impede que as simulações de caminho de ataque funcionem corretamente para a AWS.

A revogação de todas as permissões na AWS interrompe o processo do coletor de dados imediatamente. A exclusão do conector da AWS não interrompe os dados imediatamente. processo do coletor, mas não recomeça ao terminar.

Como solucionar erros ao testar a conexão

Esses erros podem ocorrer quando você testa a conexão entre o Security Command Center e a AWS.

AWS_FAILED_TO_ASSUME_DELEGATED_ROLE

A conexão é inválida porque o agente de serviço do Google Cloud não pode assumir o papel delegado.

Para resolver esse problema, considere o seguinte:

• Verifique se o papel delegado existe. Para criá-la, consulte Criar um papel do IAM da AWS para a relação de confiança entre a AWS e o Google Cloud.

• A política inline do papel delegado está ausente. Sem isso, o agente de serviço não pode assumir o papel. Para verificar se o modelo política existe, consulte Criar um papel do IAM da AWS para a relação de confiança entre a AWS e o Google Cloud.

AWS_FAILED_TO_LIST_ACCOUNTS

A conexão é inválida porque a descoberta automática está ativada e o papel delegado não pode acessar todas as contas da AWS nas organizações.

Esse problema indica que a política para permitir a ação organizations:ListAccounts no papel delegado está ausente em determinados recursos. Para resolver esse problema, verifique quais recursos estão faltando. Para verificar as configurações da política delegada, consulte Crie a política de IAM da AWS para o papel delegado.

AWS_INVALID_COLLECTOR_ACCOUNTS

A conexão é inválida porque há contas de coletor inválidas. O inclui mais informações sobre as possíveis causas, que incluem o seguinte:

• AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE
• AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

AWS_FAILED_TO_ASSUME_COLLECTOR_ROLE

A conta de coletor é inválida porque o papel delegado não pode assumir o papel de coletor na conta de coletor.

Para resolver esse problema, considere o seguinte:

• Verifique se a função de coletor existe.

  • Para criar a função do coletor para os dados de configuração do recurso, consulte Criar o Papel do IAM da AWS para coleta de dados de configuração de recursos em cada padrão.
  • Para criar o papel de coletor para a Proteção de dados sensíveis, consulte Criar o papel do IAM da AWS para a Proteção de dados sensíveis em cada conta.

• A política para permitir que o papel delegado assuma o coletor de atribuição está ausente. Para verificar se a política existe, consulte Crie a política de IAM da AWS para o papel delegado.

AWS_COLLECTOR_ROLE_POLICY_MISSING_REQUIRED_PERMISSION

A conexão é inválida porque a política do coletor não tem alguns dos as configurações de permissão necessárias.

Para resolver esse problema, considere as seguintes causas:

• Algumas das políticas gerenciadas da AWS necessárias podem não estar anexadas ao do coletor para os dados de configuração de recursos. Para verificar se todas as políticas estão anexadas, consulte a etapa 6 em Criar o papel do IAM da AWS para a coleta de dados de configuração de ativos em cada conta.

• Um dos seguintes problemas com uma política de coletor pode estar presente:

  • A política do coletor pode não existir.
  • A política do coletor não está anexada à função do coletor.
  • A política do coletor não inclui todas as permissões necessárias.

  Para resolver problemas com uma política de coletor, consulte:

  • Criar a política do AWS IAM para a coleta de dados de configuração de ativos
  • Criar a política do AWS IAM para proteção de dados sensíveis

A seguir

• Se você estiver configurando o Security Command Center Enterprise pela primeira vez, continue com a etapa 4 do guia de configuração no console.
• Analise e corrija as descobertas de vulnerabilidade da AWS.
• Crie e gerencie uma postura de segurança para a AWS.
• Crie simulações de caminho de ataque para recursos da AWS.
• Mapear conformidade da AWS recursos com vários e comparativos de mercado.